Хакери з Китаю атакували медичні та військові установи через Google Workspace
- Google повідомила про кібератаку на медичні й оборонні організації США.
- Група UNC6508 використала сервери REDCap і шкідливе ПЗ INFINITERED.
- Зловмисники викрадали дані через правила пересилання листів у Gmail.
- Атака тривала понад рік і залишалася непоміченою.
- Google заблокувала пов’язані акаунти та надала рекомендації захисту.
Фахівці Google Threat Intelligence Group (GTIG) повідомили про кібератаку, пов’язану з китайськими державними структурами, яка тривала понад рік і була спрямована на наукові, медичні та оборонні організації у Північній Америці. Про це пише TechRadar.
За даними звіту, група UNC6508 змогла скомпрометувати відкриті сервери системи Research Electronic Data Capture (REDCap), які використовуються для збору та управління дослідницькими даними. Через ці сервери зловмисники розгорнули власне шкідливе програмне забезпечення INFINITERED, що дозволило їм отримати облікові дані користувачів і зберігати доступ до систем непоміченими.
Після цього атакувальники переміщувалися всередині інфраструктури організацій і виводили конфіденційні дані. Для цього використовувалася техніка маніпуляції правилами обробки контенту в корпоративних сервісах. Зокрема, зловмисники створювали правила для автоматичного пересилання листів із певними ключовими словами на підконтрольні адреси Gmail. Одне з таких правил мало назву «Patroit».
Google зазначає, що подібні правила є стандартною функцією у хмарних сервісах для організацій і можуть використовуватися для управління електронною поштою. У цьому випадку вони були застосовані для прихованого збору інформації.
Компанія вже відключила пов’язані з кампанією облікові записи Gmail і опублікувала рекомендації для адміністраторів. Серед них — використання стійкої до фішингу двофакторної автентифікації, підключення критичних облікових записів до програми Advanced Protection, а також впровадження механізмів захисту сесій для запобігання викраденню cookie.
За даними Google, атаки були спрямовані на широкий спектр організацій, включно з клінічними установами, академічними центрами, військовими медичними структурами, регуляторами та професійними об’єднаннями. Їхня діяльність охоплює дослідження в галузях від розробки ліків і клінічних випробувань до державної політики у сфері охорони здоров’я та військової готовності.
